Новости CVE-2023-43770: уязвимость Roundcube превращает вашу приватную переписку в открытую книгу

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
CISA бьет тревогу: федеральные структуры обязаны разобраться с проблемой до 4 марта.


uvwte3ff43y7aaqwmdxj2fc8a9dyadj6.jpg


Эксперты предупреждают о критической уязвимости в почтовом сервере Roundcube, которая формально была исправлена еще в сентябре прошлого года, но все еще используется злоумышленниками для проведения атак методом межсайтового скриптинга ( XSS ).

Roundcube — это бесплатный, открытый веб-клиент для работы с электронной почтой, который обеспечивает удобное чтение, отправку и управление электронными письмами непосредственно через веб-браузер. Этот клиент выделяется интуитивно понятным интерфейсом, напоминающим традиционные настольные почтовые приложения, и предлагает возможности настройки через плагины. Roundcube поддерживает множество языков, что делает его популярным среди пользователей по всему миру. Им также пользуются представители крупного бизнеса и государственные организации. Среди ключевых функций — продвинутый HTML-редактор для составления писем, адресная книга, поддержка вложений и поиск по содержимому писем.

Речь идет о проблеме Для просмотра ссылки Войди или Зарегистрируйся , которая представляет собой XSS-уязвимость постоянного типа. Она позволяет атакующим получить доступ к защищенной информации путем отправки сообщений в формате plain/text со злонамеренными ссылками. Операция требует минимального участия пользователя.

Баг затронул версии Roundcube начиная с 1.4.14 и выше, включая серии 1.5.x до 1.5.4 и 1.6.x до 1.6.3. После обнаружения проблемы разработчики порекомендовали клиентам срочно обновиться до последних версий, особенно подчеркнув важность апдейта для пользователей 1.6.x.

Даже агентство CISA проявило озабоченность по данному вопросу, включив CVE-2023-43770 в свой Для просмотра ссылки Войди или Зарегистрируйся . Это действие доказывает серьезность проблемы, ведь подобные дефекты могут также угрожать безопасности федеральных структур.

Ситуация усугубляется тем, что помимо CVE-2023-43770, злоумышленники эксплуатируют и другие уязвимости в Roundcube. В частности, группа Winter Vivern неоднократно использовала проблему Для просмотра ссылки Войди или Зарегистрируйся для проведения целенаправленных атак. Преступникам удалось внедрить вредоносный код JavaScript в HTML-письма и SVG-документы с помощью несложных манипуляций. Эти атаки привели к компрометации серверов веб-почты Roundcube, используемых правительственными учреждениями и аналитическими центрами в Европе, а также к нарушению безопасности данных НАТО.

CISA выделила агентствам Федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) срок до 4 марта для устранения проблемы в соответствии с директивой BOD 22-01. Хотя основное внимание уделено государственным структурам, рекомендации касаются и частных организаций по всему миру.
 
Источник новости
www.securitylab.ru

Похожие темы